はてなキーワード: ワンタイムパスワードとは
KFCのアプリが最近リニューアルされたんだけど、稀に見るやばい出来になってて笑える。
これまでのアプリは特段大きな不満もなく使えるものだったのに、何故かいきなりアプリが刷新された。
・これまでのアプリでは会員未登録でもマイルが貯まる仕様だったが、新アプリ移行後は会員登録しないとマイルが貯まらない仕様に。
で、会員未登録のままアプリをアップデートしたユーザーのマイルはすべて消滅。
・アップデートで未登録会員のマイルが消滅する旨について碌な告知もなかった。
・アプリに合わせて(?)リニューアルした公式サイトが内容すっからかんでやばい。
・会員登録しようとすると入力画面の携帯電話番号と郵便番号を入力出来る桁数が足りず詰む。
・ログインの為にワンタイムパスワードが必要だが、送られてくるSMSのパスワードが空欄で詰む。
・そもそもたかが飲食店のアプリなのに電話番号登録が必須でうざい。
・文字が途中で見切れている箇所が多数ありなんて書いてあるのかわからない。
・メニューを見たいだけなのに、最寄り店舗を選んで注文画面まで進まないとメニューが一切見られない。
・クーポンを見るのにもログインが必要。ログインしてないと一切のクーポンが見られない。
・マイル連携前からマイル表示を出しているせいで「あとNaNマイルでundefined会員」と表示されている。
・退会後の「ホームに戻る」ボタンが「私を家に連れて行って」と表示されている
とてもじゃないけど売上が1,000億近いメジャー飲食チェーンのアプリとは思えない衝撃の出来なので、ぜひチェックしてみてほしい。
エンディングノートにワンタイムパスワードが書かれている。
次に会員登録時にメール確認画面に行くとその画面を閉じるとだめらしい。俺は閉じなかったけど閉じる可能性あるよね。はいクソ。
メールのワンタイムパスワードを登録したらなんかエラーになった。コピペなので間違いではないと思うのだが…まあエラーはいいんだが、そしたらメール再送とかじゃなくて最初から、住所とか全部書き直し。はいクソ。
ログインしたら集荷が全然見つからない。一度抜けて佐川 集荷で調べたら「飛脚宅配便受付サービス」がそれらしい。はいクソ。
集荷依頼しようとしたら送り状既に持ってるという選択肢なく相手先の住所必須。来てくれればいいだけだから。はいクソ。
面倒なので結局電話で集荷依頼したらまた住所言い直し。まあしょうがないけどクソ。
スパムメールに騙されて、スパム文面(下記参照)の「振込入金の詳細については、SMBCダイレクトでご確認いただけます。」のURLリンクを踏んでしまいました。
だけど、それは謂わばスパム側による囮の様なURLで、三井住友銀行のドメインだったので、幸運にも今回は難を逃れることができました。
今回のスパム側の主な目的は、メール受診者(スパム被害者)がHTML形式でメールを確認して、また、メールの内容を信頼して「ご確認」のURLリンク「ttps://www.shuhmsドットcom」(詐欺サイト)をクリックすることだと思われます。
私は普段から平文形式でメールを確認するので、(実際の被害を受けるという意味では)今回難を逃れたけど、普段からHTML形式でメールを確認していたり、情報弱者や高齢者だったら騙されやすいだろうと感じます。
ポイントは、「ご確認」のリンク先が「ttps://www.shuhmsドットcom」になっていた他、「振込入金の詳細については、SMBCダイレクトでご確認いただけます。」の次の行のURLの/kojin以下の文字列がオリジナルと違うことです。
それ以外、題名、送信元、メール内容についてオリジナルに擬態しています。
普段からスパムメールに注意していますが、スパムの擬態が高度化して、情報弱者が騙されやするなる閾値を超えたと感じたので、警鐘の意味を込めて書いておきます。
【スパムメール】
-------------------------------------------------------------------------
Subject: 【三井住友銀行】振込入金失敗のお知らせ
Date: Thu, 9 Mar 2023 **:**:** +0800
From: 三井住友銀行 <SMBC_service@dn.smbc.co.jp>
-------------------------------------------------------------------------
-------------------------------------------------------------------------
Date: Sat, 25 Feb 2023 **:**:** +0900
From: 三井住友銀行 <SMBC_service@dn.smbc.co.jp>
Reply-To: SMBC.Auto.reply@ar.smbc.co.jp
-------------------------------------------------------------------------
-------------------------------------------------------------------------
三井住友銀行より、ご指定口座への振込入金失敗についてお知らせします。
振込入金の詳細については、SMBCダイレクトでご確認いただけます。
ttps://www.smbc.co.jp/kojin/app/smbcapp.html?aff=dirct_mlODM1902001(←kojin以下の文字列がオリジナルと違う)
―――――――――――――――――――――
※振込依頼人から振込の「取消」「変更」「組戻」があった場合等、お知らせした明細と実際の手続が異なる場合があ
ります。
※本メールは、お客さまお届けのメールアドレスへお送りしています(本メールの再送依頼は受け付けておりません)
。
偽のメール等で誘導された当行を装う偽サイトに、お客さまの口座情報やワンタイムパスワード等を入力すると、不正
> ttps://www.smbc.co.jp/kojin/special/stop_phishing_crime/
「三井住友銀行」名でお送りするメールには、携帯キャリアのメールアドレス宛を除き全て電子署名を付けています。
> ttps://www.smbc.co.jp/security/smime/
閲覧しているサイトが当行の正当なサイトかどうかを、電子証明書により確認いただけます。
> ttps://qa.smbc.co.jp/faq/show/297?site_domain=default
本メールに対するメールでのご返信・お問い合わせはお受けしておりません。メールの内容に身に覚えがない場合や、
サービス等についてくわしく知りたい場合は、当行ホームページをご覧いただくか、以下より電話番号を確認の上、お
問い合わせください。
> ttps://www.smbc.co.jp/contact_list.html
> ttps://direct.smbc.co.jp/aib/aibgsjsw5001.jsp?sc=081
-----------------------------------------------------------------------
-------------------------------------------------------------------------
https://netkeizai.com/articles/detail/7922
経済産業省は1月20日、ECサイトの脆弱性対策と本人認証の仕組みを導入することを義務化する方針を固めた。2024年3月末までに、全てのECサイトが脆弱性対策と本人認証を導入することを、検討会の報告書案に盛り込んでいる。
「クレジットカード番号等の適切管理義務の水準を引き上げるべく、サイト自体の脆弱性対策を必須化(システム上の設定不備改善、脆弱性診断、ウイルス対策等)」「不正利用防止措置として、利用者本人しか知り得ない・持ち得ない情報(ワンタイムパスワード・生体認証)による利用者の適切な確認(本人認証)の仕組みを順次導入(~2024年度末)」
各EC加盟店が、脆弱性対策と本人認証の仕組みを導入したかどうかについては、カード会社や決済代行会社が管理・監督するとしている。
今だって契約解除はできるけどカード会社側が被害は許容できるとして割り切ってんじゃん
被害が許容できなかったのは誰かという話になると
ワンタイムパスワードを最後まで入力すると自動で次ページに遷移する奴
検証用に作ってあったTwitterアカウントを削除したのだが
・セキュリティトークン(YubiKey)の二段階認証
・アプリの時間式ワンタイムパスワードの二段階認証
を、設定してあった。
さて、このアカウントを削除すると
ってメールが来る。
まさかなぁ・・・と思ってIDとパスワードでログインしたら「アカウント削除処理したけど復活させるか?」って出てくるのよ
で、アカウント復活させるとDMとかツイートとか全部見えるの。
勿論「二段階認証は解除されてる」
いや、Twitterくんお前マジでなんでこういう実装した!?
=========================
分かってくれてる人もいるけど、一応補足しておくと二段階認証を設定されているアカウントで、削除の操作を行った時点で二段階認証の設定が削除。
そのため、IDとパスワードでログインすれば乗っ取れるし二段階認証をかけて奪える。
ただ、この操作をやると「Twitterアカウントを復活しました」のメールは来るので乗っ取られたら気付くことは可能ではある
=========================
どうすりゃいいのかかけよ!っていうけどTwitterくんが二段階認証情報を削除するのを
アカウント削除と同じ30日後にすりゃいいだけでしょ